14. juli 2017

Giv din hacker øl

GettyImages-507473994.jpg

”På den ene side er vi oprigtigt glade for, at borgeren hjalp os med at finde et sikkerhedshul i vores system. På den anden side er det vores klare opfattelse, at borgeren gik for langt.

 

Og da det er vores vurdering, at der er foregået en ulovlig handling, så mener vi, at det mest korrekte er at politianmelde det. Ellers kunne vi stå i en situation, hvor vi billigede en kriminel handling, der berørte borgeres navne og CPR-numre. Vi mener derfor, at det er det rigtige, at det er myndighederne, der vurderer sagen.”

 

Uddrag af KMD’s redegørelse vedr. sikkerhedshul i et af deres systemer

For år tilbage (i et tidligere job) fik jeg en henvendelse fra en bruger, der havde fundet et sikkerhedshul i en af vores løsninger. Det var ikke noget stort hul, men vi burde selv have fundet det, inden systemet var sat i produktion.

Det var tydeligt, at brugeren havde brugt lidt tid på at undersøge omfanget. Som teknisk ansvarlig for løsningen fik jeg spørgsmålet: ”Skal vi politianmelde? Han har jo forsøgt at hacke os”. Mit svar var: ”Nej, vi skal sende ham nogle flasker rødvin som tak for, at han tog sig tid til at rette henvendelse til os.”

 

Og sådan blev det: Vi fik lukket hullet, vores bruger fik nogle gode flasker rødvin som tak for henvendelsen, og så kom der ikke mere ud af den sag.

 

7 gode råd, hvis I bliver kontaktet af en ’hacker’

 

Nedenfor har jeg samlet en række gode råd, når en bruger gør opmærksom på et hul i sikkerheden - og husk: I er heldige med, at I får det at vide først!

 

1. Gå ikke i panik
Den umiddelbare reaktion er måske at spørge, hvorfor nogen har ulejliget sig med at finde et sikkerhedshul og måske tilmed har forsøgt at se, hvor stort det var. Har vedkommende bevidst forsøgt at hacke os? Men en ’rigtig’ hacker ville ikke henvende sig og gøre opmærksom på et sikkerhedshul. Så tag et par dybe indåndinger og vent med at træffe beslutning om en evt. politianmeldelse, til I er 100% sikre på, at vedkommende har udnyttet hullet til noget strafbart.

 

2. Tag kontakt
Kontakt hurtigst muligt brugeren, der har anmeldt hullet - helst direkte (ikke via kundeservice). Det viser, at I tager henvendelsen alvorligt, og samtidig reducerer I risikoen for, at der går information eller detaljer tabt. Det gør det også mere sandsynligt, at brugeren vil hjælpe med yderligere information, hvis I har svært ved selv at finde fejlen.

 

3. Begræns skaden 
Sørg for at sætte gang i fejlsøgning og fejlrettelse så hurtigt som muligt. Især hvis det er et alvorligt sikkerhedshul eller et system, der håndterer sensitive data. Overvej om systemet skal lukkes ned, indtil fejlen er rettet.

 

4. Prioritér og dokumentér
Sørg for at det team, der skal løse problemet, får den nødvendige tid til at løse opgaven. Udpeg en teamansvarlig, der bl.a. skal have ansvaret for at føre en dagbog eller log. Det kan være svært at huske detaljer og tidspunkter senere, især når der arbejdes under pres.

 

5. Hold anmelder opdateret 
Sørg for at holde anmelder opdateret om, hvor langt I er i fejlsøgningen - og hvor tætte I er på at finde en løsning. Hvis I kan, så giv et bud på, hvornår I forventer at kunne afslutte sagen. Hvis I ved, at der ikke vil være noget nyt til anmelder de næste par dage, så fortæl det.

 

6. Giv anerkendelse
Uanset hvor alvorligt hullet i sikkerheden er, så fortæl anmelder, at I er taknemmelige for henvendelsen. Og når I har lukket et eventuelt sikkerhedshul, så sørg for at anmelder bliver orienteret.

 

7. Send vin til ’hackeren’
Hvis det viser sig, at der var tale om et reelt sikkerhedshul, så send en lille kasse specialøl eller nogle gode flasker vin til anmelder som tak. Vedkommende har måske reddet jer fra, at hullet blev udnyttet til noget rigtigt grimt - eller gav en dum overskrift i avisen. Selv små, ikke-alvorlige sikkerhedshuller kan være svære at forklare over for en ikke IT-kyndig journalist

 

…og så lige et sidste råd:

 

Ikke alting behøver at vente, til I får en henvendelse. Prøv at forestille dig, at du er en bruger, der finder et sikkerhedshul: Hvor nemt er det at komme af med en anmeldelse til jer? Er den eneste måde en kontaktformular med et autosvar, om at man får svar indenfor 48 timer?

Overvej at oplyse en e-mail-adresse på jeres hjemmeside specifikt til at anmelde sikkerhedshuller - og sørg for at der bliver reageret på henvendelserne med det samme.